Attivare l’autenticazione a due fattori in Instagram è piuttosto semplice: il problema è convincere gli utenti a usarla per proteggere il proprio account in caso di furto di password.
Così vi propongo un esperimento: ho creato un account Instagram di prova che si chiama 123disinformatico. La sua password è instagramtest.
È protetto dall’autenticazione a due fattori. Provate a prenderne il controllo: avete il mio permesso esplicito.
Con questo piccolo esperimento simulo le condizioni in cui si trova l’utente quando avviene un furto in massa di credenziali, per cui la sua password e il suo nome utente circolano liberamente su Internet insieme a milioni di altri dati analoghi, come avvenuto di recente. In queste condizioni, chiunque metta le mani sugli elenchi di password può tentare di rubare un account e quindi un utente può essere attaccato da numerosissimi aggressori.
Per attivare questo antifurto si va nelle Impostazioni (dalla Home, icona in basso a destra, poi icona con tre trattini in alto a destra), si sceglie Privacy e Sicurezza e poi Autenticazione a due fattori. Qui si sceglie Messaggio di testo oppure (consigliabile) App di autenticazione. Infine si immette il codice ricevuto. Tutto qui.
Per maggiore sicurezza, annotate da qualche parte i codici di recupero che vi vengono proposti: sono la soluzione di estrema emergenza in caso di problemi.
2019/02/17 21:00
Avendo annunciato questo esperimento sia via Twitter sia durante la diretta del Disinformatico alla Radiotelevisione svizzera, ho ricevuto circa 200 mail di notifica di nuovi accessi di questo genere:
È interessante notare che Instagram avvisa del tentativo di accesso e fornisce parecchie informazioni sul possibile intruso: l’orario, il tipo di dispositivo o browser, la geolocalizzazione e (in alcuni casi) l’app utilizzata.
Dopo sette tentativi mi è arrivata una mail di avviso differente:
Ciao 123disinformatico,qualcuno ha provato ad accedere al tuo account Instagram.Se eri tu, usa il codice seguente per confermare la tua identità:[omissis]Se non eri tu, reimposta la tua password per proteggere il tuo account.
Qualcuno ha anche tentato di resettare la password, ma senza successo:
Hi 123disinformatico,We got a request to reset your Instagram password.
Reset Password If you ignore this message, your password will not be changed. If you didn't request a password reset, let us know.
Nonostante il numero elevato di tentativi d’intrusione provenienti da vari luoghi e vari dispositivi, Instagram non mi ha buttato fuori dall’app, ma mi ha obbligato a reimpostare la password con questa schermata, dalla quale non potevo uscire senza cambiare password:
È interessante la segnalazione della disconnessione delle sessioni, che però non vale per il mio dispositivo principale (l’app è rimasta nell’account).
Oggi (dopo due giorni di “attacco”) ho cambiato la password come richiesto. Tutto è tornato a posto. Direi che la dimostrazione ha funzionato.